Az Egyesült Államok Szövetségi ügynökei drónokkal való térképezésről és kiterjesztett valóság szoftverekről szóló Youtube videók megtekintőinek adatait kérték ki a Google-tól, mert feltételezték, hogy a videókat láthatta egy olyan felhasználó is, aki után bitcoin készpénzzel való megvásárlása miatt nyomoztak. Az eset hatalmas visszhangot keltett a sajtóban, felszólalt többek közt Albert Fox-Cahn, a Surveillance Technology Oversight Project ügyvezető igazgatója és John Davisson, az Elektronikus Adatvédelmi Információs Központ vezető jogtanácsosa is. A szakértők szerint az eset rémisztő precedenst teremthet az amerikai állampolgárok alkotmányos jogaira, és a magánéletük védelmére tekintve.
Hogyan ítélnénk meg egy ilyen ügyet Magyarországon, a magyar jogszabályok alapján? Kérheti-e személyes adatok továbbítását egy állami hatóság? Ha igen, ki kötelezhető adatszolgáltatásra? Milyen eljárás során? Érvényesülnek-e az eljárásban az olyan alapvető adatvédelmi elvek, mint a célhozkötöttség és a szükségesség-arányosság követelménye? Van-e akadálya az adatszolgáltatási kötelezettségnek? És legfőképpen létezik megtagadási ok, ha a személyes adatok védelme veszélybe kerül?
Mi az az adatszolgáltatás?
Az adatkérés a hatósági ellenőrzés eszköze, olyan hatósági aktus, amely a döntés megalapozására alkalmas adatok beszerzésére irányul. Ezeket az adatokat azonban nem a hatóságnak kell feltárnia, ugyanis azok már egy másik szerv, jogi személy vagy jogi személyiséggel nem rendelkező szervezet birtokában vannak. A hatóság az adatkérés során a megkeresi az érintett szerveket, akik a következőkben a kérelemnben megállapított záros határidőn belül továbbítják a kért adatokat a hatóság számára. Ez az adatszolgáltatás.
Alapesetben az állami hatóság megkeresése nyomán az adatszolgáltatás kötelező jellegű, tehát, ha az adatkérés keretében megkeresett szervezet a kérelemben foglaltakat a megállapított határidőn belül nem teljesíti, rendbírsággal sújtható, valamint törvényben meghatározott kényszerintézkedés is elrendelhető ellene. Azonban minden az állami hatóságokkal való együttműködési kötelezettségnek megvannak a maga korlátai. A következőkben azokat az eseteket vázolom fel, amikor az adatkérésen alapuló adatszolgáltatási kötelezettségnek nem kell eleget tenni.
Legelső sorban meg kell határoznunk, hogy az adott esetben milyen típusú eljárásról van szó. Alapvetpen a közigazgatási és büntető eljárásokat különböző hatóságok folytatják le, példának okáért az elsőt a kormányhivatal, míg a másodikat a rendőrség. Azonban vannak olyan hatóságok is, mint a Nemzeti Adó és Vámhivatal, amely bár nagy általánosságban közigazgatási eljárásokat folytat le, saját nyomozó hatósággal rendelkezik, és büntetőeljárást is lefolytathat, mondjuk ha egy adócsalási ügyet igyekszik felderíteni.
Adatszolgáltatás a büntetőeljárásban
Az elválasztás pedig kulcsfontosságú lehet, ugyanis ezen múlhat, hogy a hatósági megkeresésnek ki lehet az alanya, azaz, hogy ki kötelezhető adatszolgáltatásra. A legszélesebb kötelezetti kör a büntetőeljárásban található, ott ugyanis a bíróság, az ügyészség és a nyomozó hatóság, illetve (törvényben meghatározott esetben) az előkészítő eljárást folytató szerv bármely szervtől, jogi személytől vagy jogi személyiséggel nem rendelkező szervezettől adatszolgáltatást kérhet.
A Be. azonban itt is meghatározza az adatkérés korlátait. Ezek elsősorban más törvények rendelkezései. Az adatkérés keretében megkeresett szervezet ugyanis nem lesz köteles a kérelemben foglaltakat teljesíteni, ha törvény másképpen rendelkezik. Továbbá, a Be. az olyan szervezeteknek, amelyeknek törvény kizárja a kérelemben foglaltak teljesítését, eljárási érinthetetlenséget biztosít, tehát a megkeresett szervezet birtokában lévő adat megszerzése érdekében a megkeresett szervezetet érintő további eljárási cselekmény nem végezhető.
Bizonyos megkeresett szervezetek, mint például az elektronikus hírközlési szolgáltatók és meghatározott adatok, mint mondjuk a banktitok esetén ügyészi engedély beszerzését teszi kötelezővé a hatóságok számára az a jogszerű adatkéréshez, továbbá kiemeli, hogy az erre irányuló indítványhoz mindenképpen csatolni kell az az adatkérés indokoltságát alátámasztó ügyiratokat.
Ezzel el is érkeztünk a büntetőeljárásban való adatkezelés azon korlátjához, amely jelen cikk központi tárgya, amely nem más mint személyes adatok védelme. Az adatkérés keretében ugyanis csak annyi és olyan személyes adat szolgáltatása kérhető, amely az adatkérés céljának megvalósításához elengedhetetlenül szükséges. Ez a törvényi rendelkezés bevezeti a hatósági adatkérés rendszerébe a szükségesség-arányosság, valamint a célhozkötöttség követelményeit. Minden olyan az adatszolgáltatást kérő szerv tudomására jutott személyes adatot, amely az adatkérés céljával nem függ össze, haladéktalanul törölni kell.
Az adatkérés jogszerűtlenségét megalapozó eddig felsorolt korlátok mind a hatóság oldalán merülhetnek fel. Azonban, bár nem nevesíti őket, a Be. teret ad a megkeresett szerv oldalán felmerülő határok legitimitásának is. Előírja például az adatszolgáltatás akadályának hatóság felé való haladéktalan közlésének követelményét, amely szakasz tehát feltételezi olyan eljárási akadályok létezését, amelyek jogosan gátolják az adatszolgáltatást, mint mondjuk ha a kérelem érthetetlen, ellentmondásos, vagy önmagában teljesíthetetlen, például, ha a kért adatok nem állnak rendelkezésre.
Az adatszolgáltatás nem teljesítése esetén alkalmazandó negatív jogkövetkezményekről szóló részben a Be. az előzőhöz hasonlóan szankcionálhatóvá minősíti azt az esetet is, amikor a megkeresett szerv az adatszolgáltatást alaptalanul megtagadja. Következésképpen létezik alapos, tehát jogszerű megtagadási ok is az adatszolgáltatás esetében.
Adatszolgáltatás közigazgatási eljárásban
Közigazgatási eljárás esetén az adatkérés korlátai még ennél is szorosabbak. Az adatszolgáltatásra kötelezhető alanyok köre ugyanis a büntetőeljáráshoz képest látványosan beszűkül. A közigazgatási eljárásban a Ket. alapvetően csak az ügyfél számára ír elő adatszolgáltatási kötelezettséget, amelyet csak törvény vagy kormányrendelet írhat elő és csak a Ket.-ben meghatározott esetekben lehet megtagadni. Ennek alapja lehet a minősített adatra vonatkozó titoktartási kötelezettség, a médiaszolgáltatók forrásvédelme, vagy az az eset, ha az adatszolgáltatásra kötelezett ügyfél nyilatkozatával saját magát vagy hozzátartozóját bűncselekmény elkövetésével vádolná. A Debreceni Egyetem 2023-as Közigazgatási eljárásokról szóló kiadványának összefoglalásában az adatszolgáltatást az ügyfél akkor tagadhatja meg, ha arra a tanúvallomást megtagadhatná.
Az adatszolgáltatást előíró törvény vagy kormányrendelet azonban kiterjesztheti az adatkérés útján adatszolgáltatásra kötelezhető alanyok körét. Az adózás területén például az Art. az adókötelezettségek közé emeli az adatszolgáltatást, amely alól csak azok a természetes személy adózók mentesülnek, akik nem vállalkozók, munkáltatók, kifizetők vagy adóbeszedésre kötelezettek. Az Art. X. Fejezetében részletesen leírja az adatszolgáltatás szabályait egyes különös adatszolgáltatásra kötelezettekre lebontva, mint az ingatlanügyi hatóság, az önkormányzat jegyzője, vagy az egészségügyi szolgáltatók.
Látható tehát, hogy a Ket. az egyes ágazati jogszabályok hatáskörébe utalja az adatszolgáltatási kötelezettség előírását, amely szerteágazó és bonyolult szabályozási rendszert eredményez. Hogy tisztábban lássunk, térjünk vissza az alapkérdésünkhöz; Megtagadható-e a hatóság adatszolgáltatásra irányuló adatkérése adatvédelmi alapon? Láthattuk, hogy az adatszolgáltatást szabályozó hazai jogszabályok nem engedik, hogy a kötelezettek ilyen megtagási alapra hivatkozzanak. De mi a helyzet az adatvédelmi szabályozással?
Adatszolgáltatás vs. adatvédelem
Az Infotörvény nem rendelkezik kifejezetten az adatszolgáltatásról vagy az adatkérésről, az előbbi csupán elvétve jelenik meg benne. Az adatszolgáltatást megvalósító adattovábbításról azonban rendelkezik. Az adattovábbítás az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele, amely az adatkezelés egyik megvalósulása. Az adatkezelést alapesetben az adatkezelő végzi, azaz meghatározza annak célját, meghozza a vonatkozó döntéseket és végrehajtja azokat.
Az Infotörvény rendelkezik kötelező adatkezelésről is, abban az esetben, ha a adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Az adatszolgáltatás ilyen törvény, illetve jogszabály által előírt jogi kötelezettség. Az adatkezelés, és azon belül az adattovábbítást végző személy tehát az Infotörvény alapján adatkezelő, a vonatkozó nemzeti szabályok alapján pedig adatklrls esetén adatszolgáltatásra kötelezett. Ebben az esetben a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.
Mivel az adatszolgáltatás kötelező adatkezelésnek minősül, az adatkezelés legfontosabb körvonalait tehát jogszabály kell hogy meghatározza, többek között kiemelten annak célját és szükségességének felülvizsgálatát. Abban az esetben azonban, ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, a feladat visszaszáll az adatkezelőre. Neki kell tehát arról gondoskodnia, hogy ne következzen be adatvédelmi incidens, amely az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Személyes adatok hatósági kezelése
Az adatszolgáltatásról szóló hazai jogszabályok mind a büntetőeljárás, mind a közigazgatási eljárás tekintetében előírja, hogy a személyes adatokat csak olyan mértékben kezelhetik az állami hatóságok, amely az eljárás lefolytatásához, illetve a szolgáltatás nyújtásához elengedhetetlenül szükséges. Ez azt feltételezi, hogy az eljárásban a szükségesség-arányosság követelményének teljesüléséről törvény szerint magának az adatkérő hatóságnak kell gondoskodnia. Mi történik azonban, ha ez figyelmetlenségből, vagy a hatósági korlátozott erőforrásokból kifolyólag a szükségességi vizsgálat elmaradása miatt nem valósul meg?
A fent említett jogestben az Egyesült Államok beli szövetségi nyomozók utasították a Google-t, hogy adjon tájékoztatást a kiválasztott YouTube-videók nézőiről. Ha magyarországon történt volna ez az eset, azt mondanánk, hogy a hatóság büntetőeljárása keretében kért adatszolgáltatást a szervezettől, mivel olyan pénzmosási törvényt megszegő elkövetők után nyomoztak, akik valószínűleg a megtekintették a fent említett Youtube oktatóvideókat. Adatkérésük kiterjedt a felhasználók neveire, címeire, telefonszámukra, tevékenységükre, valamint a nem felhaszáló megtekintők IP címeire. Amerikai szakértők, köztük Albert Fox-Cahn, a Surveillance Technology Oversight Project ügyvezető igazgatója szerint a hatóság eljárása sérti az állampolgárok magánélethez való alapvető alkotmányos jogait.
Talán úgy gondolhatjuk, ilyen esetekre nem kerülhet sor hazánkban, hiszen itt van nekünk az Európai Unió és GDPR. Azonban elég Meta csoport által közzétett állami adatkérések számára tekinteni, és láthatjuk, hogy tavaly előttihez képest tavaly csaknem megkettőződött a szolgáltatóhoz érkezett adatszolgáltatásra irányuló hatósági megkeresések száma. Vajon a több mint ezer adatkérés számtalan személyes adata közül mennyinek a megismerése volt valóban szükséges a hatóság feladatainak elvégzéséhez?
Az adatszolgáltatás megtagadása
Ha a hatóságok nem határolják be maguktól az kért adatok mértékét a szükségességi szintre, vajon az adatkezelőkre kell hogy helyeződjön ezen döntés súlya? Ahogy az eddigiekből láthattuk, az eddig áttekintett hazai szabályozás szerint semmiképpen sem, hiszen az adatvédelmi aggályok nem szerepelnek az adatszolgáltatást jogos megtagadási alapjai között. Az Infotörvény és a GDPR alapján azonban mégiscsak erre következtethetünk, hiszen a törvényi szabályozás hiányában az adatkezelés szükségességének felülvizsgálata az adatkezelő felelősségévé válik.
Tegyük fel, hogy ellopnak egy biciklit. Egy elektromos, nyomkövetővel felszerelt biciklit, amelynek jelét a tulajdonosa követi egy nagy társasházhoz. Itt felhívja a rendőrséget, akik azonban tájékoztatják a pórul járt tulajdonost, hogy nem mehetnek be egy társasháznyi lakásba házkutatást tartani, mert az súlyosan sértené az ott lakók magánélethez való jogát. Ha ez a való életben, fizikai határoknál ilyen egyértelmű, akkor az adatok világában miért nem az?
Az adatvédelmi aggályok ellenére Parti Katalin ‘Az elektronikus hírközlési szolgáltatók együttmûködési kötelezettsége a büntetõeljárás során a gyakorlat tükrében’ című munkájában kifejti, hogy hazánkban a gyakorlatban egyáltalán nem jellemző az adatszolgáltatás bármilyen indokkal való megtagadása. Egy esetben hiányzott a megfelelő aláírás a megkeresésről, de amint azt a hatóság pótolta, az adatszolgáltatás megtörtént.
A fent említett amerikai jogesetben a Google szószólója, Matt Bryant közzétett egy nyilatkozatot, amelyben részletezte, hogy minden adatkérési megkeresést megvizsgálnak a jogi érvényesség szempontjából, továbbá kilátásba helyezte egyes megkeresések teljes elutasítását is. Azonban azt nem lehetett kideríteni, hogy adott esetben végül továbbították-e a kért adatokat, vagy sem. Szóval nagyon is lehetséges, hogy a nyilatkozat mindenféle tartalom nélkül csupán a nyilvánosság megnyugtatására szolgált.
Következtetés
A személyes adatok hatóságok számára való továbbítása rendkívül aggályos lehet adatvédelmi szempontból, ha azok eljárásuk során nem tartják magukat célhoz kötöttség, szükségesség-arányosság alapelveihez. Mint a jelen esetben is, egy bitcoin-vásárlási ügyletben teljesen független Youtube videók megtekintőinek nevét és címét felfedni az elérni kívánt célhoz képest a személyes adatok védelmének aránytalanul nagy sérelmét jelenti. A Google nyilatkozata, valóságalapjától eltekintve feltételezi, hogy az amerikai jogrendszerben az adatszolgáltatásra kötelezetteknek lehet megtagadási joga az érintettek magánéletének védelmében.
Hazánkban is, bár nincsen nevesítve, a jelenleg hatályos törvényekből közvetetten úgyszintén levezethető, hogy az adatkezelő az adatszolgáltatás szükségességét annak kötelező jellege ellenére felülvizsgálhassa. Az egyértelműség kedvéért adatvédelmi alapon való megtagadási okot azonban célszerű lenne törvénybe iktatni.
Ez a cikk az Arsboni 2024. tavaszi gyakornoki programjának keretében készült.
***
Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.
